-
09/04/2020
-
118
-
1.242 bài viết
Lỗ hổng “MadeYouReset”: Mối đe dọa mới có thể khiến Internet “nghẽn mạch” toàn cầu
Một lỗ hổng vừa được phát hiện trong giao thức HTTP/2 (là công nghệ nền tảng cho hầu hết các website và ứng dụng trực tuyến hiện nay). Lỗ hổng này, được định danh là CVE-2025-8671 và có tên gọi thân thuộc là “MadeYouReset”, đang khiến cộng đồng an ninh mạng toàn cầu cảnh giác cao độ, bởi nó có thể bị lợi dụng để gây ra các cuộc tấn công DDoS với quy mô cực lớn, làm tê liệt toàn bộ hệ thống web chỉ trong vài phút.
Lỗ hổng này không nằm ở lỗi lập trình của một hãng cụ thể, mà xuất phát từ sự khác biệt trong cách các máy chủ và giao thức HTTP/2 hiểu và xử lý “reset” luồng dữ liệu.
Về lý thuyết, khi một người dùng gửi yêu cầu đến máy chủ và sau đó “hủy” yêu cầu này, giao thức HTTP/2 sẽ coi luồng dữ liệu đó đã kết thúc. Nhưng trong thực tế, nhiều máy chủ vẫn tiếp tục xử lý yêu cầu đó, dù người dùng đã “hủy”.
Tin tặc có thể lợi dụng điều này để liên tục gửi và hủy hàng nghìn yêu cầu trong một kết nối duy nhất, khiến máy chủ phải xử lý vô số yêu cầu “ma” mà không hề nhận ra. Kết quả là CPU, bộ nhớ và tài nguyên hệ thống nhanh chóng bị “bóp nghẹt”, dẫn đến tình trạng nghẽn mạng hoặc sập hoàn toàn.
Nếu như năm 2023, thế giới từng hoang mang vì lỗ hổng “Rapid Reset” (CVE-2023-44487) cho phép tấn công qua các luồng reset do client gửi, thì “MadeYouReset” lại khai thác theo hướng ngược lại là từ phía máy chủ, khiến việc phòng thủ trở nên khó khăn hơn.
Lỗ hổng “MadeYouReset” ảnh hưởng đến hầu hết các máy chủ phổ biến nhất thế giới, bao gồm: Apache, Nginx, Tomcat và OpenLiteSpeed... (đều là những nền tảng vận hành phần lớn các website và dịch vụ trực tuyến hiện nay).
Các phiên bản và hãng bị ảnh hưởng lần lượt là:
Điều đáng lo ngại là các tham số bảo vệ sẵn có như SETTINGS_MAX_CONCURRENT_STREAMS không còn hiệu quả trong trường hợp này, vì giao thức không tính các luồng đã bị reset.
Các chuyên gia an ninh mạng cảnh báo, lỗ hổng này có thể được tội phạm mạng hoặc nhóm DDoS-for-hire khai thác để tấn công quy mô lớn vào các máy chủ web, CDN, API hoặc hệ thống thương mại điện tử. Khi bị khai thác, máy chủ có thể ngừng phản hồi, khiến website, ứng dụng hoặc dịch vụ doanh nghiệp tê liệt hoàn toàn, ảnh hưởng nghiêm trọng đến người dùng cuối và doanh thu.
CERT/CC (Trung tâm Điều phối Ứng cứu Khẩn cấp Máy tính) đã xếp CVE-2025-8671 vào mức nguy hiểm cao (CVSS 7,5) và khuyến cáo mọi tổ chức, doanh nghiệp và quản trị viên hệ thống phải hành động ngay.
Để phòng tránh bị tấn công qua lỗ hổng “MadeYouReset”, các chuyên gia khuyến cáo:
Lỗ hổng này không nằm ở lỗi lập trình của một hãng cụ thể, mà xuất phát từ sự khác biệt trong cách các máy chủ và giao thức HTTP/2 hiểu và xử lý “reset” luồng dữ liệu.
Về lý thuyết, khi một người dùng gửi yêu cầu đến máy chủ và sau đó “hủy” yêu cầu này, giao thức HTTP/2 sẽ coi luồng dữ liệu đó đã kết thúc. Nhưng trong thực tế, nhiều máy chủ vẫn tiếp tục xử lý yêu cầu đó, dù người dùng đã “hủy”.
Tin tặc có thể lợi dụng điều này để liên tục gửi và hủy hàng nghìn yêu cầu trong một kết nối duy nhất, khiến máy chủ phải xử lý vô số yêu cầu “ma” mà không hề nhận ra. Kết quả là CPU, bộ nhớ và tài nguyên hệ thống nhanh chóng bị “bóp nghẹt”, dẫn đến tình trạng nghẽn mạng hoặc sập hoàn toàn.
Nếu như năm 2023, thế giới từng hoang mang vì lỗ hổng “Rapid Reset” (CVE-2023-44487) cho phép tấn công qua các luồng reset do client gửi, thì “MadeYouReset” lại khai thác theo hướng ngược lại là từ phía máy chủ, khiến việc phòng thủ trở nên khó khăn hơn.
Lỗ hổng “MadeYouReset” ảnh hưởng đến hầu hết các máy chủ phổ biến nhất thế giới, bao gồm: Apache, Nginx, Tomcat và OpenLiteSpeed... (đều là những nền tảng vận hành phần lớn các website và dịch vụ trực tuyến hiện nay).
Các phiên bản và hãng bị ảnh hưởng lần lượt là:
- CVE-2025-8671 – Apache HTTP Server
- Là bản định danh gốc, mô tả lỗ hổng “MadeYouReset” trong máy chủ Apache.
- Ảnh hưởng đến các bản 2.4.x trước 2.4.62.
- Khi máy khách gửi luồng HTTP/2 bị “reset”, Apache vẫn tiếp tục xử lý yêu cầu, gây tắc nghẽn tài nguyên.
- CVE-2025-48989 – Apache Tomcat
- Áp dụng cho Tomcat, máy chủ ứng dụng Java phổ biến (không phải web server tĩnh).
- Cũng do xử lý sai cơ chế stream reset trong HTTP/2, khiến Tomcat có thể bị quá tải CPU/memory nếu bị tấn công tương tự.
- Phiên bản bị ảnh hưởng: 8.x - 11.x
- CVE-2025-42819 – Nginx
- Lỗ hổng tương tự nhưng nằm trong Nginx, web server mã nguồn mở cực kỳ phổ biến.
- Do cách Nginx quản lý luồng HTTP/2 không khớp với thông số giao thức, cho phép hacker “reset ảo” vô hạn, dẫn đến tấn công từ chối dịch vụ (DoS).
- Phiên bản bị ảnh hưởng: 1.25.x trở về trước
- CVE-2025-47652 – OpenLiteSpeed
- Ảnh hưởng đến OpenLiteSpeed, một nền tảng web server hiệu năng cao, phổ biến trong các máy chủ hosting.
- Cũng cùng cơ chế lỗi, máy chủ vẫn xử lý yêu cầu “đã reset”, khiến tài nguyên bị tiêu tốn không giới hạn.
- Ảnh hưởng tới nhiều phiên bản
Điều đáng lo ngại là các tham số bảo vệ sẵn có như SETTINGS_MAX_CONCURRENT_STREAMS không còn hiệu quả trong trường hợp này, vì giao thức không tính các luồng đã bị reset.
Các chuyên gia an ninh mạng cảnh báo, lỗ hổng này có thể được tội phạm mạng hoặc nhóm DDoS-for-hire khai thác để tấn công quy mô lớn vào các máy chủ web, CDN, API hoặc hệ thống thương mại điện tử. Khi bị khai thác, máy chủ có thể ngừng phản hồi, khiến website, ứng dụng hoặc dịch vụ doanh nghiệp tê liệt hoàn toàn, ảnh hưởng nghiêm trọng đến người dùng cuối và doanh thu.
CERT/CC (Trung tâm Điều phối Ứng cứu Khẩn cấp Máy tính) đã xếp CVE-2025-8671 vào mức nguy hiểm cao (CVSS 7,5) và khuyến cáo mọi tổ chức, doanh nghiệp và quản trị viên hệ thống phải hành động ngay.
Để phòng tránh bị tấn công qua lỗ hổng “MadeYouReset”, các chuyên gia khuyến cáo:
- Cập nhật bản vá mới nhất từ các nhà cung cấp như Apache, Nginx, Tomcat và OpenLiteSpeed.
- Kích hoạt cơ chế giới hạn tốc độ (rate limiting) và kiểm soát số lượng RST_STREAM trên mỗi kết nối.
- Theo dõi log hệ thống để phát hiện dấu hiệu mở và reset luồng bất thường.
- Tăng cường khả năng phòng thủ DDoS ở tầng ứng dụng (Layer 7) thông qua firewall hoặc CDN có hỗ trợ HTTP/2 filtering.
WhiteHat